Mobile Fingerabdrucksensoren: sicher oder unsicher?

Fast alle marktführenden Smartphones wurden bereits mit modernen Fingerabdrucksensoren ausgestattet. Die Anbieter behaupten, dass biometrische Sensoren sowohl die Bedienbarkeit, als auch die Sicherheit von Mobilfunkgeräten verbessern. Stimmt das?

Nicht unbedingt. Zuerst einmal funktionieren diese Sensoren nicht fehlerfrei.

Alte Sensoren können nasse kaum erkennen und auch sonst funktionieren sie oft nicht beim ersten Versuch. Wenn Sie also – zum Beispiel im Sommer oder während Sie Sport machen – verschwitzte Hände haben, kann es passieren, dass Ihr Smartphone auf stur schaltet und Sie nicht erkennt.

Auch Narben, Kratzer und andere Risse in der Haut verringern die Erkennungsqualität. Dazu kommt, dass viele Sensoren einen echten Finger nicht von einem Abguss unterscheiden können – und das ist eine riesige Sicherheitslücke.

Einige dieser Probleme werden vielleicht gelöst, wenn Qualcomm seinen Ultraschallsensor herausbringt, der mit Hilfe dieser Wellen ein 3D-Bild Ihres Fingers scannt. Er lässt sich nicht mit einem Abguss Ihres Fingers täuschen. Außerdem funktioniert der neue Ultraschallsensor auch, wenn Ihr Finger schmutzig oder nass ist. Aber es gibt immer noch andere Bedrohungen.

Neue Technologien sind immer angreifbar.

Es reicht nicht aus, einfach nur ein neues Produkt herauszubringen – es muss auch sicher sein, aber nicht alle Anbieter können das gewährleisten. Und selbst, wenn sie dieser Aufgabe gewachsen sind, werden sie sicherlich nicht alles bereits in der ersten Version umsetzen. Im August 2015 wurde eine neue Möglichkeit, Fingerabdrücke zu stehlen, entdeckt – aus der Ferne und im großen Stil.

Sicherheitsexperten haben herausgefunden, dass auf HTC-One-Max- und Samsung-Galaxy-S5-Smartphones Fingerabdruckbilder in einer unverschlüsselten, von jeder App lesbaren .bmp-Datei gespeichert wurden – einfach in einem gewöhnlichen Bitmap-Bild! Jede Software, die Zugriff auf die Bilder des Benutzers und das Internet hat, konnte diese Dateien stehlen. Entwickler haben kurz nach der Entdeckung dieser Sicherheitslücke einen Patch herausgebracht, aber wer garantiert, dass sie nicht bei neuen Handys und Betriebssystem-Versionen ähnliche Fehler machen?

Viele Smartphones schlecht geschützte Sensoren

Des Weiteren haben viele Smartphones schlecht geschützte Sensoren, wodurch sich Schadprogramme die Bilder direkt von den Fingerabdrucksensoren besorgen können. Interessant ist, dass Apple-Smartphones mittlerweile ziemlich sicher sind, da sie die Fingerabdrücke auf dem Scanner verschlüsseln.

Einige Anbieter (zum Beispiel Huawei) benutzen die ARM-TrustZone-Technologie, um die Daten auf ihren Geräten zu schützen. Das funktioniert für Fingerabdruckbilder in einer dedizierten virtuellen „Welt“, auf die vom Haupt-Betriebssystem nicht zugegriffen werden kann. Aus diesem Grund können kritische Daten (wie Fingerabdrücke) nicht durchsickern und von Drittanbieter-Apps genutzt werden. Leider hat auch diese Technologie, je nach Implementierungs-Modell, Schwachstellen.

Wenn Sie hören, dass es sich bei einem Fingerabdruck nicht um ein Passwort handelt und die Besitzer ihn nicht mit anderen Leuten teilen, vergessen oder vielleicht anderen zeigen können – glauben Sie es nicht. Dieses Jahr haben Forscher gezeigt, wie leicht es ist, einen Fingerabdruck zu stehlen – sogar aus der Ferne und ohne einen persönlichen Kontakt. Es reicht ein Foto vom Finger des Opfers in guter Qualität. Eine Spiegelreflexkamera mit gutem Zoom-Objektiv oder sogar ein Zeitschriften-Foto mit hoher Auflösung erfüllen den Zweck. Übrigens, mit der gleichen Methode kann man eine Iris kopieren.

Wenn Ihr Passwort gestohlen wurde, können Sie es in ein paar Minuten ändern, aber Ihre Fingerabdrücke bleiben Ihr ganzes Leben über gleich.

Was passiert, wenn sie gestohlen werden? Genau deshalb sollten Sie nicht immer den Werbeversprechen der bekannten Anbieter glauben. Wenn Sie ein Smartphone mit eingebautem Fingerabdrucksensor haben, empfehlen wir Ihnen, die folgenden drei einfachen Regeln zu befolgen.

1. Benutzen Sie Ihren Fingerabdrucksensor nicht, um sich bei PayPal oder anderen Finanzdiensten anzumelden. Das ist nicht sicher. Heute haben Sie das Handy in der Hand, morgen wird es gestohlen. Ein Dieb kann ganz einfach die Fingerabdrücke von der Oberfläche Ihres Handys kopieren und sie zum Einkaufen benutzen. Es ist schwieriger, Passwörter zu knacken – natürlich nur, wenn Sie sie richtig verwenden.
2. Die meisten Menschen verwenden den Zeigefinger oder Daumen für die biometrische Anmeldung. Das ist bequem aber nicht richtig, da das die Finger sind, die wir am meisten hernehmen, wenn wir ein Handy benutzen. Deshalb ist es sehr wahrscheinlich, dass ein guter Abdruck dieser Finger auf jedem Handy gefunden und dafür missbraucht werden kann, Ihren Schutz zu durchbrechen – man findet dazu sogar jede Menge Anleitungen im Internet. Für Rechtshänder ist also besser, den kleinen und den Ringfinger der linken Hand zu nutzen, für Linkshänder entsprechend die Finger der rechten Hand.
3. Ein Fingerabdrucksensor reicht nicht aus, Ihre persönlichen Daten zu schützen. Wenn Ihnen Ihre Privatsphäre wichtig ist, ziehen Sie in Betracht, eine spezielle App zu benutzen. Kaspersky Internet Security für Android bietet zum Beispiel eine integrierte Diebstahlsicherung und einen Schutz für die persönliche Kontaktliste. Diese Funktionen können Ihnen helfen, ein gestohlenes Handy zu lokalisieren, aus der Ferne alle Daten auf dem Gerät zu löschen oder Ihr SMS-Archiv und die Kontaktliste vor neugierigen Augen zu schützen.

Grundsätzlich sind Fingerabdrucksensoren eine tolle Erfindung, die eher nützlich als schädlich ist.

Aber verlassen Sie sich nicht zu sehr darauf – setzen Sie die neue Technologie weise ein und vernachlässigen Sie nicht Passwörter, Zwei-Faktoren-Identifizierung und andere Sicherheitsmaßnahmen.

Vielen Dank an unseren Kooperationspartner Kaspersky lab für den Inhalt dieses Berichtes.